Autorita  Garante  per  la  protezione  dei  dati  personali 
Piazza  di  Monte  Citorio  n.  121 
00186  ROMA 

protocol  lo(a)  pec.gpdp.it 

Network  Transmission  and  Communications  Department 
Reference:  DCRT/BS/125145/- 
28  March  2018 


Dear  Sirs 

SUBJECT  MATTER:  data  access  for  political  and/or  electoral  campaign  purposes  - 
request  for  information  pursuant  to  section  157  of  Legislative  Decree  196  of  June  30th, 
2003  (Italian  Data  Protection  Code). 

I  am  writing  on  behalf  of  Facebook  Ireland  Limited  ("Facebook  Ireland")  in  order  to 
respond  to  your  request  for  information  dated  21  March  2018  regarding  past 
violations  of  Facebook's  platform  policy1  that  have  recently  been  the  focus  of  media 
attention.  You  asked  us  to  respond  by  28  March  2018,  and  so  we  are  sharing  the 
information  that  we  are  able  to  with  you  now,  though  we  continue  to  investigate. 

Our  priority  is  to  reassure  people  that  the  trust  that  they  place  in  us  is  deserved  and 
that  data  is  protected  on  Facebook's  platform.  You  will  no  doubt  appreciate  that  we 
have  been  working  hard  to  understand  exactly  what  happened  and  to  identify  the 
steps  necessary  to  make  sure  that  it  doesn't  happen  again.  Updates  will  be  published 
to  our  newsroom2  as  matters  progress.  The  most  up-to-date  information  available 
now  is  set  out  in  Mark  Zuckerberg's  post  enclosed  (see  Annex  2),  and  in  our  newsroom 
posts  to-date  (see  Annex  3). 

Facebook  Ireland  is  the  sole  data  controller  for  all  EU  users  of  the  Facebook  service, 
including  Italian  users.  We  are  happy  to  address  your  specific  questions  on  this 
incident  on  a  voluntary  basis  and  on  the  understanding  that  we  are  subject  to  Irish 
data  protection  laws  and  the  exclusive  jurisdiction  of  the  Irish  Data  Protection 
Commissioner  ("IDPC")  on  all  data  processing  matters  in  the  EU,  including  issues 
arising  in  this  matter.  We  are  in  the  process  of  conducting  an  internal  investigation 
into  the  reported  events,  and  intend  to  provide  ourfindings  to  the  IDPC  in  due  course. 
It  will  take  a  little  time  to  complete  that  work  but,  once  we  have  provided  our  report 
to  the  IDPC,  you  may  wish  to  refer  any  inquiries  you  have  to  their  office.  Alternatively, 
on  the  assumption  that  the  IDPC  has  no  objection  to  us  doing  so,  we  would  be  happy 
to  share  a  summary  of  that  report  with  you  on  a  confidential  basis. 


1  We  have  provided  a  copy  of  our  current  platform  policy  at  Annex  1 

2  https  ://newsroom.  fb.  com/news/ 
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You  may  also  wish  to  note  that  the  UK's  Information  Commissioner  ("ICO")  is 
conducting  an  investigation  into  whether  “Facebook  data  may  have  been  illegally 
acquired  and  used”,3  which  has  included  the  execution  of  a  warrant  to  inspect  the 
premises  of  Cambridge  Analytica's  offices  in  London.  We  understand  that  Cambridge 
Analytica,  and  the  app  developer  involved  in  this  case  (as  explained  further  below)  are 
all  based  in  the  UK  (and  have  no  connection  to  Italy).  We  are  voluntarily  assisting  the 
ICO  in  relation  to  this  investigation,  and  they  may  also  be  able  to  assist  you  with  any 
further  inquiries  you  may  have  in  relation  to  this  matter. 

We  appreciate  the  Garante  keeping  the  information  contained  in  this  response  strictly 
confidential.  We  also  respectfully  request  that  the  Garante  afford  Facebook  Ireland 
the  opportunity  to  make  submissions  to  the  Garante  either  where:  a  legitimate 
request  is  made  by  competent  authorities  or  third  parties  for  the  disclosure  of  any 
information  provided  in  this  letter;  or  the  Garante  determines  to  publish,  in  whatever 
format,  of  information  relating  to  this  case  to  the  public. 

Subject  to  those  general  points,  we  share  the  information  below  with  you  now.  Please 
do  not  hesitate  to  contact  us  if  you  have  any  further  questions  or  would  like 
clarification  on  any  point. 

1.  In  relation  to  the  recent  news  concerning  the  use  of  data  related  to  Facebook 
users  by  the  company  Cambridge  Analytica,  Garante  request  all  information 
available  to  Facebook  regarding  possible  access  of  Cambridge  Analytica  to  data 
concerning  Italian  citizens  who  make  use  of  services  provided  by  Facebook 

Cambridge  Analytica  was  passed  Facebook  user  data  by  a  third-party  app  developer 
in  breach  of  Facebook's  platform  policy.  The  app  concerned  was  developed  by  Dr 
Aleksandr  Kogan  and  his  company.  Global  Science  Research  Limited  ("GSR").  This  app 
had  permission  to  use  Facebook  Login4  in  order  to  request  consent  from  Facebook 
users  to  access  specified  categories  of  their  data,  and  also  specific  categories  of  data 
from  their  Facebook  friends  (at  all  times  subject  to  those  friends'  privacy  settings).  In 
this  way.  Dr  Kogan  and  GSR  only  had  access  to  data  that  users  consented  to  give  to 
the  app  and,  in  the  case  of  users'  friends,  published  on  the  Facebook  platform  and 
made  available  to  the  app  via  their  privacy  settings.  It  did  not  obtain  sensitive  financial 
or  account  information  such  as  passwords  or  financial  information.  It  did  not  infiltrate 
Facebook's  systems  or  evade  any  data  security  measures.  We  would  also  like  to 
emphasize  that,  as  explained  in  the  posts  referred  to  above,  we  introduced  changes 
to  our  platform  from  30  April  2014  (with  apps  being  allowed  up  to  a  year  thereafter 
to  move  to  the  updated  platform)  to  significantly  restrict  the  data  that  apps  such  as 
Dr  Kogan's  are  able  to  access  via  Login.  And  we  are  now  committed  to  making  further 
changes  to  our  platform  in  order  to  set  even  higher  standards  for  how  developers 
build  apps  on  Facebook,  including  the  six  steps  explained  in  our  newsroom.5 


3  https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2Q18/03/ico-statement- 

investigation-into-data-analytics-for-political-purposes/ 

4  https://developers.facebook.com/docs/facebook-login 

5  https  ://newsroom.  fb.  com/news/20 1 8/03/cracking-do wn-on-platform-abuse/ 
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We  would  also  like  to  clarify  that  Facebook  did  not  permit  or  agree  to  the  use  of  any 
Facebook  user  data  collected  by  Dr.  Kogan's  app  by  Cambridge  Analytica. 

With  regard  to  your  specific  question,  we  are  investigating  the  specific  number  of 
people  whose  information  was  accessed  by  the  app,  including  those  in  Italy.  We  can 
confirm  that  216  people  located  in  Italy  installed  the  app  (approximately  0.07%  of  the 
total  installs  of  the  app).  I  should  note,  however,  that  the  information  available  to  us 
currently  is  limited  to  people  who  installed  the  app  throughout  its  lifetime  on  the 
Facebook  platform  (i.e.  2013  to  no  later  than  17  December  2015).  We  are  working  to 
establish  the  number  of  friends  of  those  people  potentially  affected  as  quickly  as 
possible,  and  this  figure  may  be  substantially  larger  than  the  install  figure.  This  is  a 
challenging  forensic  exercise  and  will  take  some  time  to  complete  with  accuracy,  but 
we  will  provide  additional  numbers  as  soon  as  we  are  able  to. 

I  should  also  make  the  following  points  on  the  approach  that  we  have  taken  to  identify 
people  affected: 

•  Location  has  been  used  to  identify  those  affected.  Location  is  not  an  indication 
of  nationality  or  citizenship  and  may  not,  in  some  cases,  indicate  actual  place 
of  residence.  Further,  it  is  possible  that  someone  may  have  lived  in  multiple 
locations  during  the  period  the  app  was  active,  and  so  there  may  be  some 
double  counting  in  the  total  number  of  people  affected  overall. 

•  These  figures  do  not  include  people  who  may  have  installed  the  app  but  then 
subsequently  deleted  their  Facebook  account,  as  we  no  longer  hold  that  data. 

•  These  figures  do  not  necessarily  equate  to  people  whose  data  was  shared  with 
Cambridge  Analytica  by  Dr  Kogan.  Dr  Kogan  has  said  publicly  that  he  only 
shared  data  with  Cambridge  Analytica  for  US  users  of  his  app.  Our 
investigations  team  will  work  to  verify  that  claim  but  is  not  in  a  position  to  do 
so  today. 

2.  In  relation  to  the  recent  news  concerning  the  use  of  data  related  to  Facebook 
users  by  the  company  Cambridge  Analytica,  Garante  request  all  information 
available  to  Facebook  regarding  possible  access  of  third  parties  to  the 
abovementioned  data  with  respect  to  profiling  activities  for  political  and/or 
electoral  campaign  purposes 

As  explained  above,  Facebook  did  not  agree  to  or  approve  any  use  of  data  collected 
by  Kogan's  app  by  Cambridge  Analytica.  Dr.  Kogan  and  GSR  violated  Facebook's 
platform  policy  by  passing  data  obtained  through  the  app  to  Cambridge  Analytica,  and 
Facebook  only  found  out  about  this  after  the  fact.  Given  both  Dr  Kogan  and 
Cambridge  Analytica  acted  as  independent  third  party  data  controllers  with  regard  to 
the  data  they  obtained,  Garante  would  need  to  address  any  further  questions  about 
their  use  of  their  data  to  them.  This  includes  any  profiling  activities  for  political  and/or 
electoral  campaign  purposes  in  Italy  which  they  may  or  may  not  have  conducted. 
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In  case  it  should  assist  the  Garante  in  this  regard,  we  can  explain  the  steps  we  took  to 
enforce  our  platform  policy  in  this  case  when  we  discovered  they  had  been  violated. 
We  first  learned  that  Dr  Kogan  may  have  shared  data  from  his  app  with  Cambridge 
Analytica  in  violation  of  our  platform  policy  from  The  Guardian  newspaper,  which 
published  a  story  on  the  matter  on  11  December  20156.  On  learning  this,  we  acted  to 
terminate  the  app's  access  rights  to  use  Facebook  Login  by  17  December  2015.  We 
also  assessed  what  further  action  was  necessary  and  appropriate  to  enforce  our 
platform  policies  and  protect  our  users.  These  actions  included  requiring  Dr  Kogan  and 
GSR  to  identify  the  nature  of  data  collected,  how  it  was  used,  and  to  whom  they  had 
disclosed  the  data.  We  required  Dr  Kogan  and  GSR,  as  well  as  all  the  other  entities  to 
whom  they  had  disclosed  any  data  they  obtained  via  the  app,  to  account  for  and 
irretrievably  delete  all  such  data  and  information.  We  contacted  the  third  parties 
identified  by  Dr  Kogan  and  GSR  directly  to  secure  certifications  that  all  Facebook  user 
data  they  had  obtained  was  accounted  for  and  destroyed.  We  also  sought  an 
explanation  of  how  those  third  parties  had  shared  the  information  received  while  they 
held  it.  These  parties  include  Cambridge  Analytical  parent  company,  SCL  Limited. 
Each  of  Dr  Kogan,  GSR  and  SCL  Limited  certified  that  data  received  would  be 
irretrievably  deleted. 

As  soon  as  we  learned  as  a  result  of  pre-publication  inquiries  received  from  The 
Guardian ,  The  New  York  Times  and  Channel  4  in  March  2018  that  possible  questions 
existed  around  the  validity  of  the  deletion  certifications  we  obtained,  we  have  been 
actively  investigating  the  issue,  including  by  requesting  on-site  audits  of  the  parties 
concerned.  As  yet,  we  have  obtained  no  proof  which  contradicts  the  deletion 
certifications  but  we  are  continuing  to  look  into  the  issue  as  a  matter  of  urgency  whilst 
ceding  to  ICO's  investigation  where  ICG  deems  appropriate. 

Please  find  enclosed  a  courtesy  Italian  translation  of  this  letter. 

Yours  faithfully 


Head  of  Data  Protection,  Facebook  Ireland  Limited 
Annexes 

Annex  1  -  Facebook  platform  policy 


6  htt  ps :  // w\v\v  thcauard  ian .  c  o  m/us-nc  ws/20 15/dcc/ 1 1  /scnator-tcd -c  mz- presi  dcnt-c  am  pai  an-  face  book- 
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Annex  2  -  Mark  Zuckerberg's  post 
Annex  3  -  Facebook  newsroom  post 
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Autorita  Garante  per  la  protezione  dei  dati  personali 
Piazza  di  Monte  Citorio  n.  121 
00186  ROMA 

protocol  lo(5)  pec.Rpdp.it 

Dipartimento  Comunicazioni  e  Red  Telematiche 
Rif:  DCRT/BS/125145/- 
28  Marzo  2018 


Spettabile  Garante  per  la  protezione  dei  dati  personali, 

Oggetto:  accesso  ai  dati  a  fini  di  profilazione  di  carattere  politico  e/o  elettorale  - 
richiesta  di  informazioni  ex  art.  157  Codice  in  materia  di  protezione  dei  dati  personali, 
d.  Igs.  30  giugno  2003,  n.  196 

La  sottoscritta  scrive  in  nome  e  per  conto  di  Facebook  Ireland  Limited  ("Facebook 
Ireland")  al  fine  di  rispondere  alia  Vostra  richiesta  di  informazioni  del  21  Marzo  2018 
in  relazione  ad  avvenute  violazioni  della  policy  che  regola  la  piattaforma  di  Facebook7 
e  che  recentemente  e  stata  oggetto  di  attenzione  da  parte  dei  media.  Questa  Autorita 
ci  ha  chiesto  di  rispondere  alia  richiesta  entro  il  28  Marzo  2018  e  stiamo  fornendo  le 
informazioni  che  siamo  in  grado  di  condividere  in  questo  momento,  fermo  restando 
che  stiamo  proseguendo  con  le  attivita  di  indagine. 

La  nostra  priorita  e  rassicurare  le  persone  che  la  fiducia  che  ripongono  in  noi  e 
meritata  e  che  i  dati  sono  protetti  sulla  piattaforma  di  Facebook.  Comprenderete  di 
certo  che  ci  stiamo  impegnando  a  fondo  per  capire  esattamente  che  cosa  e  successo 
e  per  identificare  i  prossimi  passi,  che  sono  necessari  per  essere  sicuri  che  cio  non 
accada  di  nuovo.  Successivi  aggiornamenti  saranno  pubblicati  sulla  nostra  rassegna 
stampa8  man  mano  che  la  questione  di  cui  trattasi  evolve.  Le  informazioni  piu 
aggiornate  al  momento  disponibili  sono  contenute  nel  comunicato  stampa  di  Mark 
Zuckerberg  allegato  (si  veda  Allegato  2)  e  nelle  pubblicazioni  aggiornate  nel  la  nostra 
rassegna  stampa  (si  veda  Allegato  3). 

Facebook  Ireland  e  il  solo  titolare  del  trattamento  per  tutti  gli  utenti  europei  del 
servizio  di  Facebook,  compresi  gli  utenti  italiani.  Siamo  disponibili  a  rispondere  alle 
Vostre  specifiche  domande  sull'incidente  di  cui  trattasi  su  base  volontaria  e  sul 
presupposto  condiviso  che  che  siamo  soggetti  alia  legge  irlandese  sulla  protezione  dei 
dati  personali  e  alia  giurisdizione  esclusiva  dell'Autorita  privacy  irlandese  (Irish  Data 
Protection  Commissioner,  "IDPC")  per  tutte  le  questioni  relative  al  trattamento  di  dati 
personali  all'interno  dell'Llnione  Europea,  comprese  le  questioni  relative  a  quanto 

7  Copia  della  policy  della  nostra  piattaforma  e  allegata  alia  presente  sub  Allegato  1. 

8  https  ://newsroom.  fb.  com/news/ 
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oggetto  della  presente  comunicazione.  Stiamo  conducendo  un'indagine  interna  sui 
fatti  di  cui  trattasi  ed  e  nostra  intenzione  fornire  il  resoconto  di  tale  attivita  di  indagine 
all'IDPC  a  tempo  debito.  Ci  vorra  del  tempo  per  completare  il  lavoro  di  indagine  che 
abbiamo  intrapreso  ma,  dopo  che  avremo  fornito  il  resoconto  dell'indagine  all'IDPC, 
questa  Autorita  potrebbe  considerare  di  rivolgere  eventuali  domande  all'IDPC.  In 
alternativa,  a  condizione  che  I'lDPC  non  abbia  alcuna  indicazione  in  contrario  al 
riguardo,  siamo  disponibili  a  condividere  con  questa  Autorita  una  sintesi  del  resoconto 
dell'indagine  su  base  confidenziale. 

Riteniamo  opportuno  ricordare  che  I'Autorita  privacy  inglese  (Information 
Commissioner's  Office,  "ICO")  sta  conducendo  un'indagine  al  fine  di  verificare  se  i  dati 
di  Facebook  possono  essere  stati  illegittimamente  acquisiti  e  utilizzati9  e  nell'ambito 
di  questa  indagine  e  stato  eseguita  un'ispezione  presso  la  sede  degli  uffici  della  societa 
Cambridge  Analytica  a  Londra.  A  quanto  ci  risulta,  Cambridge  Analytica  e  lo 
sviluppatore  di  app  coinvolto  nel  caso  in  questione  (come  di  seguito  specificato  nel 
dettaglio)  sono  entrambi  situati  nel  Regno  Unito  (e  non  hanno  alcuna  connessione  con 
I'ltalia).  Stiamo  assistendo  I'lCO  su  base  volontaria  in  relazione  a  questa  investigazione 
e  I'lCO  potrebbe  essere  in  grado  di  fornirVi  assistenza  per  ulteriori  Vostre  richieste  in 
relazione  a  quanto  oggetto  della  presente  comunicazione. 

Confidiamo  che  questa  Autorita  manterra  strettamente  confidenziali  le  informazioni 
contenute  in  questa  comunicazione.  Chiediamo  rispettosamente  che  questa  Autorita 
conceda  a  Facebook  Ireland  la  possibility  di  rendere  dichiarazioni  a  questa  Autorita 
nel  caso  in  cui  sia  presentata  da  parte  di  autorita  competenti  ovvero  da  terzi  una 
richiesta  legittima  di  divulgazione  delle  informazioni  contenute  nel  la  presente 
comunicazione;  ovvero  nel  caso  in  cui  questa  Autorita  decida  di  rendere  note  al 
pubblico,  in  qualsiasi  formato,  le  informazioni  relative  a  quanto  oggetto  della  presente 
comunicazione. 

Forniamo  a  questa  Autorita  le  informazioni  contenute  nella  presente  comunicazione 
sulla  base  dei  presupposti  sopra  indicati.  Restiamo  a  Vostra  disposizione  per  ulteriori 
domande  o  necessity  di  chiarimenti. 

1.  Con  riferimento  alle  recenti  notizie  concernenti  I'utilizzo  di  dati  relativi  ad  utenti 
Facebook  da  parte  della  societa  Cambridge  Analytica,  questa  Autorita  richiede  tutte 
le  informazioni  in  possesso  di  Facebook  relativamente  al  possibile  accesso  di 
Cambridge  Analytica  ai  dati  di  cittadini  italiani  fruitori  dei  servizi  offerti  da  Facebook 

Cambridge  Analytica  ha  ricevuto  i  dati  degli  utenti  di  Facebook  da  un  terzo 
sviluppatore  di  app  in  violazione  della  policy  della  piattaforma  Facebook.  La  app  in 
oggetto  e  stata  sviluppata  dal  Dr.  Aleksandr  Kogan  e  dalla  sua  societa,  la  societa  Global 
Science  Research  Limited  ("GSR").  Questa  app  aveva  il  permesso  di  utilizzare  la 
funzionalita  Facebook  Login10  per  richiedere  il  consenso  da  parte  degli  utenti  di 
Facebook  all'accesso  a  specifiche  categorie  dei  dati  degli  utenti  ed  anche  a  specifiche 


9  https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/03/ico-statement- 

investigation-into-data-analytics-for-political-purposes/ 

10  https://developers.facebook.com/docs/facebook-login 
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categorie  di  dati  degli  amici  Facebook  degli  utenti  (in  ogni  caso  nel  rispetto  delle 
configurazioni  privacy  impostate  dagli  amici  Facebook  degli  utenti).  In  questo  modo  il 
Dr.  Kogan  e  GSR  hanno  avuto  accesso  soltanto  ai  dati  degli  utenti  Facebook  che  gli 
stessi  utenti  hanno  acconsentito  a  comunicare  alia  app  e,  per  gli  amici  degli  utenti 
Facebook,  ai  dati  che  gli  stessi  avevano  pubblicato  sulla  piattaforma  Facebook  e 
avevano  reso  disponibili  alia  app  tramite  le  configurazioni  privacy  impostate.  II  Dr. 
Kogan  e  GSR  non  hanno  avuto  accesso  a  informazioni  critiche  di  carattere  finanziario 
ovvero  a  informazioni  sull'account  Facebook  quali  ad  esempio  password  o 
informazioni  di  carattere  finanziario.  Non  vi  e  stata  intrusione  nel  sistema  di  Facebook 
da  parte  del  Dr.  Kogan  e  GSR  e  questi  ultimi  non  hanno  eluso  alcuna  misura  di  sicurezza 
del  sistema  di  Facebook.  Ci  preme  inoltre  sottolineare  che,  come  spiegato  nel 
comunicato  sopra  richiamato,  abbiamo  introdotto  delle  modifiche  alia  nostra 
piattafroma  gia  dal  30  Aprile  2014  (alle  app  in  quel  momento  presenti  sulla 
piattaforma  Facebook  e  stato  consentito  di  migrare  alia  nuova  piattaforma  entro  un 
anno  da  tale  data);  tali  modifiche  sono  state  introdotte  per  ridurre  in  modo 
significativo  i  dati  a  cui  le  app  quali  la  app  del  Dr.  Kogan  possono  accedere  attraverso 
la  funzionalita  di  Login.  In  aggiunta,  siamo  al  momento  impegnati  nell'introduzione  di 
ulteriori  modifiche  alia  nostra  piattaforma  al  fine  di  stabilire  standard  ancora  piu  alti 
in  relazione  a  come  gli  sviluppatori  realizzano  le  app  su  Facebook,  compresi  i  sei  passi 
che  sono  illustrati  nel  comunicato  stampa.11 

Vorremmo  inoltre  chiarire  che  Facebook  non  ha  in  alcun  modo  autorizzato  ovvero 
concordato  I'utilizzo  di  dati  di  utenti  Facebook  raccolti  dalla  app  del  Dr.  Kogan  ovvero 
da  Cambridge  Analytica. 

In  relazione  alia  Vostra  specifica  domanda,  stiamo  facendo  delle  indagini  sul  numero 
esatto  di  persone  le  cui  informazioni  sono  state  oggetto  di  accesso  tramite  la  app, 
compresi  i  cittadini  italiani.  Possiamo  confermare  che  216  persone  situate  in  Italia 
hanno  installato  la  app  (circa  lo  0.07%  del  totale  delle  installazioni  della  app).  Mi 
preme  evidenziare,  tuttavia,  che  le  informazioni  che  abbiamo  in  questo  momento 
sono  limitate  alle  persone  che  hanno  installato  la  app  per  il  tempo  in  cui  la  app  e  stata 
presente  sulla  piattaforma  Facebook  (quindi  dal  2013  fino  a  non  oltre  il  17  Dicembre 
2015).  Stiamo  lavorando  per  stabilire  il  numero  di  amici  Facebook  delle  persone 
potenzialmente  interessate  nel  piu  breve  tempo  possibile  e  questo  numero  potrebbe 
essere  sostanzialmente  maggiore  del  numero  delle  installazioni  della  app.  Si  tratta  di 
una  complessa  attivita  di  indagine  forense  e  ci  vorra  del  tempo  per  completarla  in 
modo  accurato,  ma  forniremo  ulteriori  dettagli  appena  saremo  in  grado  di  farlo. 

Vorrei  inoltre  sottolineare  le  considerazioni  che  seguono  sull'approccio  che  abbiamo 
mantenuto  per  identificare  le  persone  interessate  dal  caso  di  cui  trattasi: 

•  La  posizione  dell'utente  e  stata  usata  per  identificare  le  persone  interessate. 
La  posizione  non  rappresenta  un'indicazione  di  nazionalita  ovvero  cittadinanza 
e  in  alcuni  casi  puo  non  indicare  il  luogo  di  residenza  attuale.  Inoltre  e  possibile 
che  una  persona  abbia  vissuto  in  diversi  luoghi  durante  il  periodo  di  tempo  in 
cui  la  app  era  attiva  sulla  piattaforma  di  Facebook,  per  cui  nel  conteggio 


11  https  ://newsroom.  fb.  com/news/20 1 8/03/cracking-do  wn-on-platform-abuse/ 
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generale  del  numero  totale  di  persone  interessate  possono  esserci  del le 
persone  che  sono  considerate  piu  volte. 

•  II  conteggio  non  comprende  le  persone  che  possono  avere  installato  la  app  ma 
che  hanno  in  seguito  cancellato  il  proprio  account  Facebook,  dal  momento  che 
non  abbiamo  piu  tali  dati. 

•  II  conteggio  non  equivale  necessariamente  al  numero  di  persone  i  cui  dati  sono 
stati  condivisi  con  Cambridge  Analytica  dal  Dr.  Kogan.  II  Dr.  Kogan  ha 
dichiarato  pubblicamente  di  aver  condiviso  con  Cambridge  Analytica  soltanto 
i  dati  di  utenti  americani  della  app.  II  nostro  gruppo  di  lavoro  preposto  alle 
indagini  lavorera  per  verificare  I'esattezza  di  tale  affermazione  ma  in  questo 
momento  non  siamo  nella  posizione  di  poterlo  confermare. 

2.  Con  riferimento  alle  recenti  notizie  concernenti  I'utilizzo  di  dati  relativi  ad 
utenti  Facebook  da  parte  della  societa  Cambridge  Analytica,  questa  Autorita 
richiede  tutte  le  informazioni  in  possesso  di  Facebook  relativamente  al 
possibile  accesso  da  parte  di  altri  soggetti  ai  medesimi  dati  in  relazione  ad 
attivita  di  profilazione  a  fini  di  carattere  politico  e/o  elettorale 

Come  sopra  indicato,  Facebook  non  ha  in  alcun  modo  autorizzato  ovvero  concordato 
I'utilizzo  di  dati  di  utenti  Facebook  raccolti  dalla  app  del  Dr.  Kogan  ovvero  da 
Cambridge  Analytica.  II  Dr.  Kogan  e  GSR  hanno  agito  in  violazione  della  policy  della 
piattaforma  Facebook,  consegnando  dati  raccolti  tramite  la  app  a  Cambridge  Analytica 
e  Facebook  ne  e  venuta  a  conoscenza  solo  in  seguito.  Dal  momento  che  rispetto  ai 
dati  che  hanno  ottenuto  sia  il  Dr.  Kogan  sia  Cambridge  Analytica  hanno  agito  in  qualita 
di  terzi,  titolari  autonomi  di  trattamento,  codesta  Autorita  potrebbe  aver  bisogno  di 
rivolgere  agli  stessi  ulteriori  domande  sull'utilizzo  che  hanno  fatto  dei  dati.  Quanto 
precede  comprende  eventuali  attivita  di  profilazione  a  fini  di  carattere  politico  e/o 
elettorale  in  Italia  che  il  Dr.  Kogan  e  Cambridge  Analytica  possono  avere  ovvero  non 
avere  realizzato. 

A  tale  proposito,  in  caso  possa  essere  di  supporto  a  codesta  Autorita,  possiamo 
spiegare  che  cosa  abbiamo  fatto  per  far  valere  la  policy  della  nostra  piattaforma  nel 
caso  di  specie,  quando  siamo  venuti  a  conoscenza  che  la  stessa  era  stata  violata. 
Abbiamo  appreso  per  la  prima  volta  che  il  Dr.  Kogan  poteva  aver  condiviso  dati  raccolti 
dalla  sua  app  con  Cambridge  Analytica,  in  violazione  della  policy  della  nostra 
piattaforma,  dal  giornale  The  Guardian,  che  ha  pubblicato  un  articolo  sulla  vicenda  di 
cui  trattasi  in  data  11  Dicembre  201512.  Non  appena  ne  siamo  venuti  a  conoscenza 
abbiamo  agito  per  togliere  alia  app  i  diritti  di  accesso  per  I'utilizzo  della  funzionalita 
Facebook  Login,  a  partire  dal  17  Dicembre  2015.  Abbiamo  inoltre  preso  in 
considerazione  ulteriori  azioni  che  potevano  essere  necessarie  e  appropriate  per  far 
valere  la  policy  della  nostra  piattaforma  e  per  proteggere  i  nostri  utenti.  Nell'ambito 
di  tali  ulteriori  azioni  abbiamo  richiesto  al  Dr.  Kogan  e  a  GSR  di  identificare  la  natura 


12  https://www.theguardian.com/us-news/2Q15/dec/ll/senator-ted-cniz-president-campaign-facebook- 
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dei  dati  raccolti,  le  modalita  di  utilizzo  dei  dati  e  I'ambito  di  condivisione  dei  dati. 
Abbiamo  richiesto  al  Dr.  Kogan  e  a  GSR,  cos!  come  a  tutti  gli  alltri  soggetti  con  cui  era  no 
stati  condivisi  i  dati  ottenuti  attraverso  la  app,  di  tracciare  e  cancellare  in  modo 
irrevocabile  tutti  i  dati  e  le  informazioni  rilevanti.  Abbiamo  contattato  direttamente  i 
soggetti  terzi  destinatari  di  comunicazioni  di  dati  identificati  dal  Dr.  Kogan  e  da  GSR  al 
fine  di  ottenere  attestazioni  di  aver  tracciato  e  distrutto  tutti  i  dati  di  utenti  Facebook 
che  avevano  ricevuto.  Abbiamo  anche  chiesto  spiegazioni  su  come  tali  soggetti  terzi 
avevano  condiviso  le  informazioni  ricevute  mentre  ne  erano  in  possesso.  Questi 
soggetti  terzi  comprendono  la  societa  capogruppo  di  Cambridge  Analytica,  che  e  ta 
societa  SCL  Limited.  II  Dr.  Kogan,  la  societa  GSR  e  la  societa  SCL  Limited  hanno  tutti 
dichiarato  che  i  dati  ricevuti  sarebbero  stati  cancellati  in  modo  irreversible. 

Non  appena  siamo  a  venuti  a  conoscenza,  a  seguito  delle  richieste  relative  alia  pre- 
pubblicazione  ricevute  da  parte  di  The  Guardian,  The  New  York  Times  e  Channel  4  a 
Marzo  2018,  della  circostanza  che  potevano  esserci  incertezze  sulla  validita  delle 
attestazioni  di  cancellazione  che  avevamo  ottenuto,  abbiamo  avviato  attente  indagini 
sull'accaduto,  compresa  la  richiesta  di  verifiche  sul  posto  nei  confronti  delle  parti 
coinvolte.  Fino  ad  ora  non  abbiamo  ottenuto  nessuna  prova  che  contraddica  le 
attestazioni  di  cancellazione,  ma  stiamo  perseguendo  con  le  attivita  di  indagine,  che 
per  noi  sono  prioritarie,  anche  se  tali  indagini  daranno  precedenza  aile  investigazioni 
dell'ICO,  qualora  TICO  lo  ritienga  opportuno. 

Vi  inviamo  una  traduzione  informale  di  questa  comunicazione  in  italiano. 


In  fede, 

[  ] 


Head  of  Data  Protection,  Facebook  Ireland  Limited 
Allegati 

Allegato  1-  Policy  della  piattaforma  di  Facebook 
Allegato  2  -  Comunicato  di  Mark  Zuckerberg 
Allegato  3  -  Rassegna  stampa  di  Facebook 
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